Кибертерроризм в цифрах

К кибертеррактам относятся: получение несанкционированного доступа к информации, ее кража и уничтожение; раскрытие закрытой информации; осуществление контроля над критическими объектами национальной инфраструктуры.

За 2024 год сервис Solar AURA зафиксировал 986 сообщений об утечках, включая публикации баз данных российских компаний. В результате атак защищаемая информация попадала в открытый доступ 479 раз (на 43% чаще, чем в 2023 году). Хакеры опубликовали 1,4 млрд строк данных, объем выложенных в доступ данных превысил 20 терабайт.

В тройку «лидеров» по количеству утечек в 2024 году вошли финансы (29,6%), госсектор (24,4%) и ритейл (18,3%). Здравоохранение обосновалось в антирейтинге на 7-м месте (2,7%), хотя в I полугодии занимало 4-ю позицию в TOP5: тогда в открытый доступ попали конфиденциальные данные 21 медорганизации, в основном персональные данные (ПД) пациентов.

Ключевые угрозы

С началом 2025 года хакеры буквально набросились на российскую медицину. Уже в I квартале число кибератак выросло на 24%. При этом каждая пятая атака носила критический характер — это утечки, уничтожение ИТ-инфраструктуры и приостановка работы медучреждений.

В конце июля 2025 года после масштабной атаки на «Аэрофлот» хакеры нарушили работу аптек «Столички» и «Неофарм», а также клиники «МК «Семейный доктор».

Кибератаки на сектор здравоохранения становятся все более критичны, поскольку в ИТ-системах медучреждений аккумулируется гигантский объем «чувствительных» данных. По прогнозам, кибератаки будут только чаще, опаснее и изощреннее.

Методы и мотивы кибершпионажа в медицине

Тактика и техники, которыми пользуются злоумышленники, известны. Чаще всего хакеры атакуют клиники, пытаясь обойти средства защиты. На втором месте сетевые атаки и попытки внедрения в информсистемы медорганизации вредоносного программного обеспечения (ПО).

Нарушение политики кибербезопасности и нелегитимные действия администраторов информсистем фиксируются в незначительном проценте от всех инцидентов в отрасли.

Мотив циничный и корыстный

Почему «кибервирус» в медицине такой агрессивный? В бизнесе понятно: злонамеренного хакера интересуют ценные сведения – коммерческая тайна компании. Но почему проблема доступа к данным так актуальна для здравоохранения?

Определяющими можно считать три фактора:

Важность сектора и прибыль для преступника. Хакерство превратилось в бизнес с KPI, правилами игры и инфраструктурой. У компаний и хакеров-одиночек есть бизнес-цели: получив доступ в систему жертвы, они объявят об этом не сразу, а будут скачивать данные, анализировать массив информации и выжидать до тех пор, пока станет выгодно.

По данным за 2020—2024 годы, средняя стоимость одной утечки в здравоохранении — 10 млн долл. Это больше, чем в любой другой индустрии, и «чек» продолжает расти.

Комбинация и объем конфиденциальных данных. Информация, которой располагают больницы, медцентры и клиники, представляет особый интерес для киберпреступников. Как бы цинично ни звучало, но данные пациентов — это высоколиквидный товар на теневом рынке. Ведь здесь не только персональные, но и жизненно важные сведения, диагнозы — гигантский объем компромата, за которым охотятся шантажисты.

Медучреждения – часть национальной инфраструктуры. Здравоохранение – стратегически важная отрасль и влияет на основные аспекты жизни любого государства. В последние годы медучреждения и фармкомпании России стали точкой давления для политически мотивированных игроков самого разного калибра.

Июльские кибератаки причинили многомиллионный ущерб и нанесли урон инфраструктурным объектам России. У «Аэрофлота» уничтожено 7000 серверов, украдено 22 ТБ данных, причинен ущерб на 259 млн руб. В аптеках не работали кассы, системы учета, сотрудников отправили в отгул. Потери для фармритейлеров и «Семейного доктора» могут составить от десятков до сотен миллионов рублей. Кроме того, им может грозить ответственность из-за утечки персональных данных.

Как защититься

СТО и архитектор платформы TeamDo Вячеслав Крампец убежден, что вектор любой атаки всегда идет в первую очередь через людей. «Причем происходит это по двум веткам. Первая — проникновение в систему из-за незнания, беспечности персонала или пренебрежения правилами безопасности. Вторая — преднамеренный саботаж или, как уже сказано выше, «нелегитимные действия» сотрудников, точнее — соблазн «заработать» легко и быстро «на стороне». Но доля такой статистики минимальна: абсолютное большинство специалистов дорожат местом работы и вряд ли готовы злонамеренно причинить ущерб компании», — считает он.

Кроме человеческого фактора, результат кибератаки может предопределить технический аспект — старое, не обновляемое «железо» или ПО. «Эти зоны риска и определяют правила информационной безопасности в медорганизации. Так же, как пожарная, кибербезопасность – не одноразовая акция, а постоянный и непрерывный процесс», — подчеркнул Крампец.

Рекомендации руководителям клиник

Обеспечить профессиональную защиту. Собственники и те, кто формирует бюджеты медорганизаций, должны осознать остроту проблемы. При недооценке серьезности угроз вы будете искать «дешевого» админа, у которого не хватит компетенции противостоять хакерам, или экономить на «железе».

Только специалист может сделать аудит, определить степень надежности аппаратного обеспечения, ранжировать проблемы по степени риска, а также выбрать ПО, лицензии и услуги внешних подрядчиков.

Сделать бизнес хакеров невыгодным. К приватным, а тем более персональным данным пациентов и сотрудников нужно относиться как к ценному активу — в медорганизациях воруют именно их. Люди, которые этим занимаются, работают за большие деньги. В сфере кибермошенничества около 50 специализаций — это настоящая ОПГ, где есть биржи, торгующие результатами взломов.

Хакерство — сложная, высокотехнологичная работа с высокими трудозатратами, но этот бизнес можно лишить выгоды. Если компьютеры с общим доступом обнесены внешней защитой внутри медцентра, налажен процесс автоматизации, есть резервное копирование, то в случае взлома (абсолютной защиты не бывает) злоумышленники получат доступ к маленькому «кусочку» системы. Даже если они навредят, вы легко восстановитесь, но атаковать вас дальше или в следующий раз им будет просто невыгодно.

Обучать сотрудников элементарной цифровой гигиене. Если все предыдущее сделано профессионально и грамотно, увеличивается риск кибератак через персонал. Беспечных или безграмотных сотрудников нужно обучать базовым вещам и цифровой гигиене:

• не использовать флешки,
• не подсоединять к рабочему компьютеру личный телефон,
• не открывать почту с незнакомых адресов, а ссылки — с незнакомых аккаунтов.

Компании, где риск кибертерроризма высок, потери в случае утечки исчисляются сотнями миллионов, уже давно убрали USB-входы. Информационный контур медорганизации тоже должен быть закрытым.

Установить персональную ответственность. Медработники получают персональные данные от тысяч пациентов: индивидуальные идентификационные номера (налоговые, медицинские), реквизиты карт и другую «чувствительную» информацию. Персонифицированные и платежные сведения пользователей легко поддаются машинной обработке, без труда выявляются в потоке других данных. Мошенники их используют и монетизируют.

Поэтому все работающие с ПД должны знать азы Федерального закона № 152-ФЗ «О персональных данных» и меру личной ответственности. Вместо обещанных в «телеге» 10 тыс. за «скрин» — реально получить миллионный штраф или условный срок. Изложите требования, например, в «Правилах внутреннего трудового распорядка», «Политике конфиденциальности», или введите эти документы в электронный документооборот и ознакомьте под роспись тех, кому предоставлен доступ к таким данным.

Для тех, кто понял ─ прогноз благоприятный

Почти все сферы бизнеса уже так или иначе страдали от атак, на медорганизации и аптеки нападали многократно. Системы «ложатся», данные утекают, бизнесы простаивают или рушатся, а кибербезопасность и уж тем более киберстрахование в России по-прежнему считают чем-то странным и «на всякий случай».

На Западе киберстрахование — это уже обычный пункт в бюджете. Мировой рынок киберстрахования в 2023 году оценивался в 14 млрд долл., к 2027-му прогнозируется рост до 29 млрд.

Страховка – не замена фаерволу, уверен начальник управления страхования ответственности «Ингосстраха» Дмитрий Шишкин. На его взгляд, российский бизнес пока не понял сути этого предложения. Убытки, которые приходят после атаки, включая простои, суды, репутацию, потерянных клиентов, стоят больших денег. А полис может покрыть их.

«Ломать будут чаще, потери станут больше, а кому-то они будут стоить бизнеса. Но те, кто смотрит вперед, пройдут процесс спокойно. Изменится сознание и отношение людей к проблеме информационной безопасности. Анонимность исчезнет как таковая: везде нужно будет подтверждать свою личность. Нас ждет тотальная прозрачность и персонификация, ценность и спрос на безопасность будут только расти. Других вариантов нет», – уверен Вячеслав Крампец.